OBS数据安全防护最佳实践

背景信息

敏感数据主要包括个人隐私信息、密码、密钥、敏感图片等高价值数据，这些数据通常会以不同的格式存储在您的OBS桶中，一旦发生泄漏，会给企业带来重大的经济和名誉损失。

DSC在您完成数据源识别授权后，从您存储在OBS的海量数据中快速发现和定位敏感数据，对敏感数据分类分级并统一展示，同时追踪敏感数据的使用情况，并根据预先定义的安全策略，对数据进行保护和审计，以便您随时了解OBS数据资产的安全状态。

应用场景

• 敏感数据识别

  OBS中存储了大量的数据与文件，但无法准确获知这些OBS数据中是否包含敏感信息以及敏感数据所在的位置。

  您可以使用DSC内置算法规则，或根据其行业特点自定义规则，对其存储在OBS中的数据进行整体扫描、分类、分级，并根据结果做进一步的安全防护，如利用OBS的访问控制和加密功能等。

• 异常检测和审计
  DSC可检测敏感数据相关的访问、操作、管理等异常，并提供告警提示信息，用户可以对异常事件进行确认和处理。通常情况下，以下行为均被视为异常事件：

  • 非法用户在未经授权的情况下对敏感数据进行了访问、下载。
  • 合法用户对敏感数据进行了访问、下载、修改、权限更改、权限删除。
  • 合法用户对敏感数据的桶进行权限更改、权限删除。
  • 访问敏感数据的用户登录终端异常等情况。

操作步骤

1. 购买数据安全中心服务。
2. 登录管理控制台。
3. 在左侧导航树中，单击，选择“安全 > 数据安全中心”。
4. 在左侧导航树中选择“资产列表”，单击页面右上角的“云资产委托授权”。
5. 在OBS资产所在行的“操作”列，单击开启授权。
6. 添加OBS资产，具体的操作请参见添加OBS资产。
7. 在左侧导航树中，选择“敏感数据识别 > 识别任务”，单击“新建任务”，配置敏感数据的扫描任务。

   “数据类型”选择6中添加的OBS资产，其他配置请参见创建敏感数据识别任务。

   图1 新建敏感数据识别任务
   

8. 在左侧导航树中选择“敏感数据识别 > 识别任务”，进入识别任务页面。
9. 单击目标任务“操作”列的“识别结果”查看识别结果。

   在页面左上角，识别任务名称选择dsctest、资产类型选择OBS、资产名称选择全部资产，筛选OBS敏感数据识别结果，识别结果如图2所示。

   图2 识别结果明细
   

10. 在目标扫描对象所在行的“操作”列，单击“查看分类分级结果详情”，进入“分类分级结果详情”弹框，如图3所示。
    图3 分类分级结果详情
    
    1. 在异常告警列表中，根据风险等级查看异常情况，排查是否存在高风险事件。具体操作请参见查看风险行为检测事件详情。
    2. 在OBS控制台，针对存在风险的桶或文件，修改读写权限。具体操作请参见桶策略。